SAML シングル サインオン

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

Atlassian Access の SAML シングル サインオン

Atlassian Access をサブスクライブすると、SAML シングル サインオンを利用できます

Atlassian Access はご利用の Atlassian Cloud 製品すべてに対して、企業全体での可視性、安全性、およびコントロールを実現します。1 つの製品からユーザーを管理したりセキュリティ ポリシーを適用したりして、ビジネスを確実に拡張できます。

Atlassian Access を開始する方法については、こちらをお読みください。


SAML シングル サインオンについて

セキュリティ アサーション マークアップ言語 (SAML) は、パーティ間、特にアイデンティティ プロバイダーとサービス プロバイダー (Confluence Cloud など) 間で認証データおよび認可データを交換するためのオープン標準です。

SAML シングル サインオン (SSO) は、Atlassian Cloud 製品にログインするときに企業のアイデンティティ プロバイダーを介してユーザーが認証できるようにします。SSO を使用すると、ユーザーが一度認証した後は、そのセッション中は、複数の製品にアクセスする際に各製品での認証が不要になります。SSO は検証済みドメインのユーザー アカウントにのみ適用されることに注意してください。

ユーザーが SAML シングル サインオンを使用してログインできる場合も、引き続きアトラシアン製品へのアクセス権を付与する必要があります。この方法については、「製品アクセスの管理」を参照してください。

G Suite で Atlassian Cloud サイトのユーザーを管理する場合、G Suite が提供する SSO 機能を使用する必要があります。


はじめる前に

Atlassian Cloud の管理者は、ユーザーの Atlassian アカウントに SAML シングルサインオンを適用する前に、いくつかの手順を完了しておく必要があります。

  1. Create an organization – see Set up an Atlassian organization.
  2. Verify one or more domains, to confirm you own those – see Verify a domain for your organization. When you verify a domain, all the Atlassian accounts that use email addresses from the verified domain become managed by your organization.
  3. Atlassian Access をサブスクライブする。

また、次の点を確認しておくことをおすすめします。 

  1. Atlassian 製品とご利用のアイデンティティ プロバイダーの両方が相互の通信に HTTPS プロトコルを使用すること。また、設定された製品のベース URL が HTTPS のものであること。
  2. SAML 認証リクエストは限られた期間のみ有効であるため、アイデンティティ プロバイダー サーバーの時間が NTP を使用して同期されていること。SaaS アイデンティティ プロバイダーを使用している場合は、時間がすでに同期されているはずです。
  3. SAML シングル サインオンを設定する前に、SAML 構成に誤りがあった場合に備えて組織へのアクセスを保持するための Atlassian アカウントを作成します。このアカウントは、以下を満たす必要があります。

    • 組織について検証したドメインのメール アドレスを使用していないこと。これによって、ログイン時にアカウントが SAML シングル サインオンにリダイレクトされなくなります。
    • サイト管理者アクセス権と組織管理者アクセス権の両方が付与されていること。

    このアカウントは一時的なものと考えてください。SAML シングル サインオンがユーザーの期待通りに動作していることを確認したら、管理者アクセス権を削除できます。


SAML シングル サインオンのセットアップ

このセクションでは、SAML シングル サインオンをセットアップする方法について説明します。

  • You need to have already subscribed to Atlassian Access before you can set up SAML single sign-on for your managed users. See Apply Atlassian Access policies and features for details about how to do that.
  • SAML シングル サインオンの構成中は、ユーザーは Atlassian Cloud 製品にログインすることができません。SAML への移行日時のスケジューリングやユーザーへの事前通知を検討してください。

サポートされるアイデンティティ プロバイダー

ご利用のアイデンティティ プロバイダーが以下の表にある場合、それぞれのリンクをクリックし、SAML シングル サインオンのセットアップの手順に従ってください。ご利用のアイデンティティ プロバイダーが以下の表にない場合、以下の「サポートされていないアイデンティティ プロバイダー」セクションの手順を使用してください。

アイデンティティ プロバイダー セットアップ手順
Azure

参照先:

ADFS は正式にはサポートされていないため、代わりに Azure Active Directory を使用することをお勧めします。

Bitium Atlassian Cloud 向けの SAML の設定
Centrify Centrify のヘルプ ページ
Okta Atlassian Cloud 向け SAML 2.0 の設定方法
OneLogin

参照先:

これらのページを表示するには、OneLogin にログインする必要があります。


サポートされていないアイデンティティ プロバイダー

アイデンティティ プロバイダーが上記の表にない場合、このセクションの手順に従ってください。

1. アイデンティティ プロバイダーへの Atlassian 製品の追加

この手順では、SAML シングル サインオンを使用する Atlassian 製品をアイデンティティ プロバイダーに設定します。

オンプレミスのアイデンティティ プロバイダーを使用する場合、ユーザーは内部ネットワークまたは VPN 接続からアイデンティティ プロバイダーにアクセス可能な場合にのみ認証することができます。

アイデンティティ プロバイダーが NameId 属性を使用してメールを送信できることを確認します。Atlassian 製品を追加したら、以下の SAML 属性マッピングをアイデンティティ プロバイダーに追加します。

SAML 属性名 アイデンティティ プロバイダーにマッピングする項目

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

ユーザーの名
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname ユーザーの姓

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name、または

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn

これはユーザーに対する内部 ID であり、変更されることはありません。

この ID はユーザーのメール アドレスとは異なることにご注意ください。

IdP-initiated SAML の場合、組織の URL をデフォルトのリレー状態として入力します。https:// を組織の URL の一部として含めます。

2. アイデンティティ プロバイダーから Atlassian 組織への詳細のコピー

  1. admin.atlassian.com にログインし、組織を選択します。
  2. 左側の [SAML シングル サインオン] を選択し、[SAML 構成の追加] を選択します。

  3. アイデンティティ プロバイダーの詳細情報を次のフィールドにコピーします。

    フィールド 説明
    アイデンティティ プロバイダー エンティティ ID

    この値は、製品が認証リクエストを許可するアイデンティティ プロバイダーの URL です。

    アイデンティティ プロバイダー SSO URL

    この値はユーザーがログイン時にリダイレクトされる URL を定義します。

    公開 x509 証明書

    この値は、「-----BEGIN CERTIFICATE-----」で始まります。

    この証明書には、受信したすべての SAML 認証リクエストがアイデンティティ プロバイダーで発行されていることを検証するために使用する公開鍵が含まれています。

  4. 構成の保存をクリックします。


3. Atlassian 組織からアイデンティティ プロバイダーへの詳細のコピー

Atlassian 組織の「SAML シングル サインオン」ページにアイデンティティ プロバイダーの詳細を追加すると、新しいフィールドと値が表示されます。これらの値をアイデンティティ プロバイダーにコピーします。 

すべてのコピーが終わったら、アイデンティティ プロバイダーで保存をクリックします。

4. Atlassian 組織の SAML シングル サインオンのテスト

Atlassian 組織で保存をクリックすると、SAML 設定が適用されます。ユーザーはログアウトされないため、以下の手順を使用して SAML 設定を調整しながらテストします。

  1. ブラウザで新しいシークレット ウィンドウを開きます。
  2. 検証済みドメインのいずれかのメール アドレスを使用してログインします。
  3. 正しくサインインされ、期待されるアクセス権限がすべてあることを確認します。

    ログイン エラーが発生した場合、以下の「SAML シングル サインオンのトラブルシューティング」セクションを使用して設定を調整し、再度シークレット ウィンドウでテストします。

    正常にログインできない場合、設定を削除して、ユーザーが Atlassian 製品にアクセスできることを確認します。

SAML でのジャストインタイム プロビジョニング

セルフ サインアップが有効化されている場合、新規ユーザーに対して Atlassian アカウントを手動で作成する必要はありません。そのユーザーが SAML を使用して最初にログインした際に、Atlassian アカウントが自動的に作成されます。

新規ユーザーが Jira、Confluence、または Bitbucket に初めてアクセスした際には、次のようになります。

  1. ユーザーは自身のメール アドレスを入力します。
  2. ご利用のアイデンティティ プロバイダーのログイン画面が表示され、ユーザーは自身の資格情報を入力して認証します。
  3. 対象のメール アドレスに、Atlassian アカウントのメール アドレスを確認するためのメールが送信されます。
  4. ユーザーはメール内の確認リンクをクリックしてログインし、アクセスしようとしていたサイト (Jira、Confluence、または Bitbucket) が開きます。


SAML でのユーザーの無効化

ユーザーによる REST API 経由での組織データの取得を防止するには、組織とアイデンティティ プロバイダーの両方でユーザーを無効化します。

組織でユーザー プロビジョニングもセットアップ済みの場合、アイデンティティ プロバイダー側でのユーザーの無効化のみが必要です。


2 段階認証およびパスワード ポリシーを備えた SAML シングル サインオン

組織で Atlassian パスワード ポリシーおよび 2 段階認証が設定されている場合、SAML シングル サインオンを設定すると、ユーザーはそれらの対象ではなくなります。つまり、ログイン プロセスで、パスワード ポリシーと 2 段階認証は基本的に「スキップ」されます。 

代わりにアイデンティティ プロバイダーが提供する同等の仕組みを使用することをお勧めします。


SAML 設定の更新

Atlassian では、SAML シングル サインオンの処理を変更しました。これを受け、お客様側で SAML シングル サインオンの設定を更新する必要があります。2018 年 4 月 6 日 (金) までに以下の手順を実施する必要があります。これらの変更を実施しない場合、SAML シングル サインオンの設定が停止する可能性があります。

SAML シングル サインオン設定の更新方法

以下の手順を実施して SAML シングル サインオン設定を更新します。これは 2018 年 4 月 6 日までに実施する必要があります。

この変更はすぐに終わりますが、その間、ユーザーはログインできません (すでにログインしているユーザーには影響がありません)。この変更を実施する時間をスケジュールし、ユーザーに通知することをおすすめします。

  1. admin.atlassian.com にログインし、組織を選択します。
  2. 左側の [SAML シングル サインオン] を選択します。
  3. 弊社が提供している SAML シングル サインオンの設定ページに表示されている、新しい SP エンティティ IDSP アサーション コンシューマー サービス URL をコピーします。 
  4. 以下のプロバイダーのいずれかを使用している場合、以下の固有の手順を実行します (ほかのプロバイダーの場合、アイデンティティ プロバイダーの構成設定に新しい値を保存します)。
Azure...

Microsoft Azure AD

Azure AD の Atlassian Cloud アプリに移動し、[Manage] の Single sign-on] をクリックします。

次に、以下の表に従って設定を更新し、変更を保存します。

スクリーンショット フィールド名
1. 識別子 Atlassian の SAML シングル サインオン画面からコピーした SP エンティティ ID の値を貼り付けます。
2. 応答 URL Atlassian の SAML シングル サインオン画面からコピーした SP アサーション コンシューマー サービス URL の値を貼り付けます。
3. サインオン URL Atlassian Cloud インスタンスの URL を入力します ( https://<example>.atlassian.netというパターンです)。
4. ユーザー識別子 この属性の既存の値を変更しないでください。
5. SAML トークン属性 以下のスクリーンショットのように、givenname および surname 以外の属性を削除します。


Atlassian の SAML シングル サインオンの設定ページに戻り、はい、設定を更新しますボタンをクリックします。


Azure AD 設定ページのスクリーンショット:

Okta...

Okta

Okta アプリの [Advanced Sign-on Settings] に移動します。

次に、以下の表に従って設定を更新し、変更を保存します。

フィールド名
ユニーク ID

以下のように、Atlassian の SAML シングル サインオン画面から SP エンティティ ID の末尾の文字列をコピーします (SP アサーション コンシューマー サービス URL も同様です)。

この文字列を Okta のユニーク ID フィールドにペーストします。


Jira および Confluence のベース URL は同じままです。

Atlassian の SAML シングル サインオンの設定ページに戻り、はい、設定を更新しますボタンをクリックします。


Okta アプリの [Advanced Sign-on Settings] のスクリーンショット:

Onelogin...

OneLogin

まず、新しいコネクタ アプリを設定する必要があります。そのためには、Onelogin の手順に従います

次に、コネクタ アプリの設定で、以下の表に従って設定を更新し、変更を保存します。

フィールド名
Atlassian SAML ID

以下のように、Atlassian の SAML シングル サインオン画面から SP エンティティ ID の末尾の文字列をコピーします (SP アサーション コンシューマー サービス URL も同様です)。

その文字列を OneLogin の Atlassian SAML ID フィールドに貼り付けます。


Atlassian サイト URL は同じままです。

Atlassian の SAML シングル サインオンの設定ページに戻り、はい、設定を更新しますボタンをクリックします。

新しい SAML シングル サインオン設定が期待通り動作していることを確認したら、古い Onelogin アプリを削除できます。


OneLogin コネクタ アプリの設定ページのスクリーンショット:

Bitium...

Bitium

Bitium のシングル サインオン設定ページに移動します。

次に、以下の表に従って設定を更新し、変更を保存します。

スクリーンショット フィールド名
1. エンティティ ID Atlassian の SAML シングル サインオン画面から SP エンティティ ID の値を貼り付けます。
2. ACS URL Atlassian SAML シングル サインオン画面から SP アサーション コンシューマー サービス URL の値を貼り付けます。


Atlassian の SAML シングル サインオンの設定ページに戻り、はい、設定を更新しますボタンをクリックします。


Bitium の設定ページのスクリーンショット:

Centrify...

Centrify

Centrify の管理エリアに移動し、アプリ > アプリケーション設定に移動します。

以下の表に従って設定を更新し、変更を保存します。

スクリーンショット フィールド名
1. SP エンティティ ID Atlassian の SAML シングル サインオン画面からコピーした SP エンティティ ID の値を貼り付けます。
2. SP アサーション コンシューマー サービス URL Atlassian の SAML シングル サインオン画面からコピーした SP アサーション コンシューマー サービス URL の値を貼り付けます。


Atlassian の SAML シングル サインオンの設定ページに戻り、はい、設定を更新しますボタンをクリックします。


Centrify の設定ページのスクリーンショット:


SAML シングル サインオン設定を更新した後に問題が発生した場合

2018 年 4 月 6 日までに SAML 設定を更新する旨の通知を Atlassian から受け取り、それを行った後に問題が発生した場合は、以下の手順を実行してください。

  1. 以前の値を使用して、アイデンティティ プロバイダーの元の設定を復元します。
    • SP エンティティ ID: https://id.atlassian.com/login
    • SP アサーション コンシューマー サービス URL:   https://id.atlassian.com/login/saml/acs
  2. Atlassian Access のサブスクライブ前に SAML シングル サインオンを設定している場合、Atlassian Cloud サイトの SAML シングル サインオン設定ページに移動し、[オリジナルの設定のリストア] ボタンをクリックします (ボタンを表示するには情報アイコンをクリックする必要があります)。
  3. Atlassian サポートにお問い合わせください。SAML シングル サインオンの設定の問題を見つけて修正できるよう、支援いたします。


SAML シングル サインオンの削除

SAML シングル サインオン設定を削除する前に、ユーザーがログインするには Atlassian アカウントのパスワードが必要となることを確認しておく必要があります。

  • SAML シングル サインオンが有効になる前から Atlassian アカウントのパスワードを設定しているユーザーは、ログインにそのパスワードを使用します。
  • SAML シングル サインオンが有効になってから参加したユーザーは、次回ログイン時に Atlassian アカウントのパスワードをリセットする必要があります。


SAML シングル サインオンを削除する方法:

  1. admin.atlassian.com にログインし、組織を選択します。
  2. 左側の [SAML シングル サインオン] を選択します。
  3. 次に、下にスクロールし、[構成の削除] をクリックします。削除を確認します。


アイデンティティ プロバイダーに移動し、そこで Atlassian Cloud の SAML 設定を削除することをお勧めします。

SAML シングル サインオンを削除しても、Atlassian Access のサブスクライブが中止されるわけではないことに注意してください。管理対象アカウントへのセキュリティ ポリシーの適用を中止する場合、Atlassian Access を解約できます。


SAML 設定のトラブルシューティング

このセクションでは、Atlassian アカウントを使用した SAML シングル サインオンに関する一般的なトラブルシューティングを紹介します。Atlassian の依頼を受けて SAML シングル サインオン設定を最近更新し、問題が発生した場合、次のセクションを参照してください。

アイデンティティ プロバイダーによってエラーが表示される場合、Atlassian サポートではなく、アイデンティティ プロバイダーが提供するサポートおよびツールをご利用ください。

SAML 設定が原因で Atlassian Cloud 製品にアクセス出来ない場合:

  1. Atlassian アカウントのログイン画面に移動し、ログインできない場合をクリックして、表示される手順に従います。ログインするためのリンクが、すぐにメールで送信されます。
  2. 組織の SAML シングル サインオン ページに移動して、残りのユーザーの SAML サインオンを修正または無効化します。
  3. トラブルが解消されない場合、SAML 設定を削除し、Atlassian アカウントのパスワード認証に戻します。

    SAML 設定を削除すると、パスワード ポリシー画面ですべてのユーザーのパスワードを無効化することができます。これによって、Atlassian アカウント パスワードのパスワード リセット プロセスを利用するようにユーザーに要求できます。

サポート チケットを起票する場合、SAML Tracer Firefox アドオンから取得できる SAMLRequest および SAMLResponse ペイロードを添付してください。これによって、サポートで問題の潜在的な原因をより迅速に特定できるようになります。


エラー メッセージと解決策を表示するには、ここをクリックしてください。

エラー

発生する可能性がある問題

Atlassian ブランドのない通常のエラー画面:

IdP とのネットワーク通信に問題がある可能性があります。ページを更新して問題が解決されるか確認します。

IdP のエラー画面:

ユーザーが IdP から Atlassian 製品にアクセスできないなど、アイデンティティ プロバイダーの設定による問題が発生する場合があります。IdP でチケットを起票して問題の解決を依頼します。

「アイデンティティ プロバイダーでメールアドレスが変更されました。管理者に連絡し、Atlassian 製品に対応する変更を加えてください。」

SAML ベータによる既知の問題:今後、ユーザー管理から管理アカウントのメールアドレスを変更できるようになります。

「ログインできませんでしたが、再度実行するとログインできる場合があります。」

ログインプロセス中にそのユーザーの SAML 設定が無効化されました。SAML 設定を確認して再度実行してください。

  • 予期しないアイデンティティ プロバイダー エンティティ ID が到達しました。管理者に連絡し、Atlassian の SAML の設定を確認してください。xxx ですが xxx を予期していました。

  • 「アサーション/レスポンスに無効なイシュアがあります。」

サイト管理の SAML 設定に入力された アイデンティティ プロバイダー エンティティ ID が不正である可能性があります。正しいエンティティ ID を使用していることを確認し、再度実行してください。

「xxx はこのレスポンスの有効なオーディエンスではありません。」

アイデンティティ プロバイダーの SAML 設定にあるサービス プロバイダー エンティティ ID が正しくない可能性があります。正しいエンティティ ID を使用していることを確認し、再度実行してください。

「レスポンスが xxx ではなく xxx で受信されました。」

IdP SAM 設定のアサーション コンシューマー サービス URL が正しくない可能性があります。正しい URL を使用していることを確認し、再度実行してください。

「期待される認証済みメールアドレスは「xxx」ですが、「xxx」が受信されました。大文字小文字を含めて正確に一致していることを確認してください。管理者に連絡し、メールが一致するように変更してください。」

ユーザーが Atlassian アカウント メールアドレスとは異なるメールアドレスで IdP にログインしようとしました。ユーザーが正しいメールアドレスでログインしているか確認してください。メールアドレスも大文字小文字を区別します。

  • 「メールアドレスが Name Id であると期待していましたが、xxx でした。管理者に連絡し、Name Id がメールアドレスにマップされていることを確認してください。」

  • 「メールアドレスが Name Id であると期待していましたが、そうではありませんでした。管理者に連絡し、Name Id がメールアドレスにマップされていることを確認してください。」

  • 「ユーザー ID を期待していましたが、そうではありませんでした。管理者に連絡して、レスポンスにユーザー ID が含まれていることを確認してください。以下の設定およびトラブルシューティング ガイドを参照してください。

  • 「サポートされていないバージョンの SAML です。」

  • 「SAML レスポンスの ID 属性が見つかりません。」

  • 「SAML レスポンスは 1 アサーションを含んでいる必要があります。」

  • 「無効な SAML レスポンスです。saml-schema-protocol-2.0.xsd と一致しません。」

  • 「無効な復号済み SAML レスポンスです。saml-schema-protocol-2.0.xsd と一致しません。」

  • 「シグネチャの検証に失敗しました。SAML レスポンスは拒否されました。」

  • 「シグネチャが見つかりません。SAML レスポンスは拒否されました。」

  • 「レスポンスのアサーションは証明されていません。SP ではこれが必要です。」

  • 「このレスポンスの AttributeStatement の SessionNotOnOrAfter に基づいて、属性は期限切れです。」

  • 「レスポンスに EncryptedAttribute がありますが、この SP ではサポートしていません。」

  • 「タイミングの問題が発生しました(時間設定を確認してください)。」

  • 「レスポンスに InResponseTo 属性:xxx がありますが、期待される InResponseTo はありません。」

  • 「レスポンス:xxx の InResponseTo は SP:xxx によって送信された AuthNRequest の ID と一致しません。」

サポートされていない IdP を使用している可能性があります。以下の点を確認して IdP 設定を確認してください。

  1. アイデンティティ プロバイダーはメールを NameId として返すことができます。

  2. ユーザー Id は一意かつ不変であり、upn または name SAML 属性にマッピングされます。

  3. SAML レスポンスは署名されており、暗号化されていません。

  4. アイデンティティ プロバイダーの時間は NTP と同期されています。


内部のユーザー Id は不変である必要があることにご注意ください。この Id をユーザーのメール アドレスにすべきではありません。

必要に応じて、upn または name 属性を一意かつ不変の値に変更できます。その Atlassian アカウント用の SAML Id は、ユーザーの次回ログイン時に新しい値に更新されます。




よくあるご質問

検証できないドメインに SAML シングル サインオンを適用することはできますか?

いいえ。製品とリソースの安全性を維持するため、所有している検証可能なドメインでのみ SAML シングル サインオンを使用できます。

ユーザーのフル ネームを変更する方法

ユーザーのフル ネームは、アイデンティティ プロバイダーのシステムでを更新することで更新できます。更新された名前は、ユーザーが次にログインするときに、Atlassian Cloud に同期されます。

SAML が利用できない Atlassian 製品はありますか?

SAML シングル サインオンは現在、Trelloと Statuspage では使用できません。これらの製品向けに段階的に SAML シングル サインオンをロールアウトしていく予定です。

REST API による認証の仕組みを教えてください。

Atlassian Cloud 製品でのスクリプトおよびサービスでの basic 認証では、パスワードではなく API トークンを使用することをお勧めします。詳細については、「API トークンの使用」を参照してください。


最終更新日 2019 年 1 月 11 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.